Хакеры узнали о планах по созданию в России аналога Интернета

Александр Панасенко 24 Сентября 2015 - 11:18

...

В анонимном хакерском блоге Shaltay Boltay была опубликована переписка между топ-менеджерами российских госкомпаний. По заверениям авторов блога, в общении посредством электронной почты принимали участие руководители компаний и представители партии «Оплот России».

Как следует из переписки, в России планируется создать собственный аналог сети Интернет под названием «Отечественная информационная система». Данный проект планируется представить руководству страны в рамках программы импортозамещения.

Сообщается, что в переписке принимает участие бывший вице-президент по региональным продажам «Башнефти» Дмитрий Панюков, начальник управления кластерного анализа и пространственного развития «Внешэкономбанка» Сергей Ганзя, директор по информационным технологиям ОАО «РусГидро» Гаральд Бандурин, бывший вице-президент по региональным продажам «Башнефти» Дмитрий Панюков, разработчик «РусГидро» Андрей Блинов и ряд других лиц, пишет 3dnews.ru.

Также опубликован документ под названием «Справка», который, согласно заявлениям хакеров, был прикреплен к одному из писем, попавших в их распоряжение. В данном документе предлагается создать собственную программно-сетевую платформу, имеющую перспективы мировой экспансии. Кроме того, в «Справке» говорится, что создание российской компьютерной сети предлагается в интересах российских граждан, российской государственности, развития экономики, предприятий и объектов инфраструктуры. Отмечается, что в современных условиях нет никакой возможности конкурировать с западными компаниями и сейчас крайне необходимо продвигать собственные стандарты и добиваться признания на международном уровне. Сейчас, в случае конфликта с западом, нет никаких гарантий, что государственные спецслужбы зарубежных стран не смогут перехватить управление элементами инфраструктуры и коммуникаций, или же приостановить их работу.

Предлагаемая платформа позиционируется как отечественный программный комплекс, с помощью которого возможно создать унифицированную распределённую информационную среду интерактивных объектов.

О проблеме импортозамещения власти России стали говорить после введения ряда санкций западными странами. Это также коснулось и IT-отрасли. 1 апреля Министерство экономического развития России утвердило план импортозамещения программного обеспечения. Разработка отечественных решений будет вестись в 14 направлениях, включая базы данных, серверные операционные системы и антивирусные программы. На реализацию одобренных идей ежегодно будет выделяться от 200 до 500 миллионов рублей в течение пяти лет.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Мая 2025 - 11:15

Windows Бэкдоры Трояны Фишинг Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство F6

Core Werewolf атакует оборонку России и Беларуси через PDF-приманки

Эксперты департамента киберразведки компании F6 зафиксировали новую волну активности хакерской группировки Core Werewolf, которая традиционно охотится за российскими и белорусскими военными структурами. Основная цель — организации, связанные с оборонкой и критической инфраструктурой.

Core Werewolf известна с августа 2021 года. В арсенале — всё те же инструменты: UltraVNC и MeshCentral, которые позволяют злоумышленникам получать удалённый доступ к заражённым устройствам.

Как прошла последняя атака

2 мая 2025 года на одну из публичных песочниц был загружен .eml-файл. Письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении — защищённый паролем архив с названием «Списки_на_нагр.7z». F6 сразу сопоставили его со стилем и техникой Core Werewolf.

Внутри архива оказался исполняемый файл с длинным бюрократическим названием: «Списки на уточнение вс представляемых к награждению гос награды.exe». Это был дроппер — при запуске он распаковывает временные файлы и запускает PDF-документ-приманку с таким же названием, чтобы не вызывать подозрений. В это же время в фоне стартует CMD-скрипт, запускающий вредоносную цепочку.

Первым в дело вступает crawl.cmd: он достаёт содержимое из скрытого архива и передаёт управление скрипту kingdom.bat. Тот формирует конфигурационный файл для UltraVNC (ultravnc.ini), где уже всё подготовлено:

задан пароль,
включён перенос файлов,
разрешён удалённый вход,
отключён запрос подтверждения подключения.

Далее запускается mosque.bat: он убивает процессы UltraVNC (если они уже запущены), проверяет соединение с C2-сервером stroikom-vl[.]ru, а затем запускает клиента VNC под видом процесса Sysgry.exe.

Формат с «наградными списками» — не новинка. Ранее Core Werewolf уже использовала похожие приманки: документы с военными координатами, списками объектов, докладами и прочими якобы «официальными» файлами.

Атака от 17 апреля: ещё один артефакт

F6 также обнаружила другой подозрительный файл — undoubtedly.exe, загруженный на VirusTotal. Он тоже связан с Core Werewolf и, судя по всему, применялся против российских военных структур.

Внутри дроппера — очередной PDF-документ: «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf». Типичная военная тематика.

Также распаковывался скрипт conscience.cmd, запускающий аналогичную вредоносную цепочку: